Oktatóanyag: Az F5 BIG-IP SSL-VPN konfigurálása a Microsoft Entra SSO-hoz
Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az F5 BIG-IP-alapú biztonságos szoftvercsatornás virtuális magánhálózatot (SSL-VPN) a Microsoft Entra ID-val a biztonságos hibrid hozzáférés (SHA) érdekében.
A Big-IP SSL-VPN engedélyezése a Microsoft Entra egyszeri bejelentkezéshez (SSO) számos előnnyel jár, például:
- Teljes felügyelet szabályozást a Microsoft Entra előzetes hitelesítésével és feltételes hozzáféréssel.
- Jelszó nélküli hitelesítés a VPN-szolgáltatáshoz
- Identitás- és hozzáférés-kezelés egyetlen vezérlősíkról, a Microsoft Entra felügyeleti központból
További előnyökért lásd:
Egyszeri bejelentkezés a Microsoft Entra-azonosítóban
Feljegyzés
A klasszikus VPN-ek továbbra is hálózatorientáltak maradnak, és gyakran nemigen biztosítanak részletes hozzáférést a vállalati alkalmazásokhoz. A Teljes felügyelet elérése érdekében identitásközpontúbb megközelítést szorgalmazunk. További információ: Öt lépés az összes alkalmazás Microsoft Entra-azonosítóval való integrálásához.
Forgatókönyv leírása
Ebben a forgatókönyvben az SSL-VPN szolgáltatás BIG-IP Access Policy Manager (APM) példánya biztonsági helyességi korrektúranyelvként (SAML) van konfigurálva, a Microsoft Entra ID pedig a megbízható SAML-identitásszolgáltató (IDP). A Microsoft Entra ID egyszeri bejelentkezése (SSO) jogcímalapú hitelesítésen keresztül történik a BIG-IP APM-hez, amely egy zökkenőmentes virtuális magánhálózati (VPN-) hozzáférési felület.
Feljegyzés
Cserélje le az útmutatóban szereplő példasztringeket vagy értékeket a környezetében lévőkre.
Előfeltételek
Az F5 BIG-IP előzetes ismerete vagy ismerete nem szükséges, azonban a következőkre van szüksége:
- Microsoft Entra-előfizetés
- A helyszíni címtárból szinkronizált felhasználói identitások a Microsoft Entra-azonosítóval
- Az alábbi szerepkörök egyike: Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator
- BIG-IP-infrastruktúra a BIG-IP-cím felé és onnan érkező ügyfélforgalommal
- A BIG-IP által közzétett VPN-szolgáltatás rekordja egy nyilvános tartománynév-kiszolgálón (DNS)
- Vagy egy tesztügyfél localhost-fájlja tesztelés közben
- A BIG-IP ki van építve a szolgáltatások HTTPS-en keresztüli közzétételéhez szükséges SSL-tanúsítványokkal
Az oktatóanyagi élmény javítása érdekében az F5 BIG-IP-szószedet iparági szabvány szerinti terminológiájának elsajátítása.
F5 BIG-IP hozzáadása a Microsoft Entra katalógusából
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Állítson be egy SAML összevonási megbízhatóságot a BIG-IP között, hogy a Microsoft Entra BIG-IP átadhassa az előhitelesítést és a Feltételes hozzáférést a Microsoft Entra-azonosítóhoz, mielőtt hozzáférést adna a közzétett VPN-szolgáltatáshoz.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Minden alkalmazás lehetőséget, majd válassza az Új alkalmazás lehetőséget.
- A katalógusban keresse meg az F5-öt , és válassza az F5 BIG-IP APM Microsoft Entra ID-integrációt.
- Adja meg az alkalmazás nevét.
- Válassza a Hozzáadás majd a Létrehozás lehetőséget.
- A név ikonként jelenik meg a Microsoft Entra Felügyeleti központban és az Office 365 portálon.
A Microsoft Entra SSO konfigurálása
Az F5-alkalmazástulajdonságokkal lépjen az Egyszeri bejelentkezés kezelése>elemre.
A Select a single sign-on method page, select SAML.
Válassza a Nem lehetőséget , majd később mentem.
Az SAML-lel való egyszeri bejelentkezés beállítása menüben válassza az egyszerű SAML-konfiguráció tollikonját.
Cserélje le az azonosító URL-címét a BIG-IP által közzétett szolgáltatás URL-címére. Például:
https://ssl-vpn.contoso.com
.Cserélje le a Válasz URL-címet és az SAML-végpont elérési útját. Például:
https://ssl-vpn.contoso.com/saml/sp/profile/post/acs
.Feljegyzés
Ebben a konfigurációban az alkalmazás idP által kezdeményezett módban működik: a Microsoft Entra ID a BIG-IP SAML szolgáltatásra való átirányítás előtt saml-állítást ad ki.
Az IdP által kezdeményezett módot nem támogató alkalmazások esetében a BIG-IP SAML szolgáltatásban adja meg például
https://ssl-vpn.contoso.com
a bejelentkezési URL-címet.A kijelentkezés URL-címeként adja meg a big-IP APM egyszeri kijelentkezés (SLO) végpontot, amelyet a közzétett szolgáltatás gazdagépfejléce előír. Például:
https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr
Feljegyzés
Az SLO URL-címe biztosítja, hogy a felhasználói munkamenet BIG-IP-címen és Microsoft Entra-azonosítón végződjön, miután a felhasználó kijelentkezett. A BIG-IP APM-nek lehetősége van az összes munkamenet leállítására egy alkalmazás URL-címének meghívásakor. További információ a K12056: A kijelentkezés URI belefoglalási lehetőségének áttekintése című F5-cikkről.
.
Feljegyzés
A TMOS v16-ból az SAML SLO-végpont /saml/sp/profile/redirect/slo lett.
Válassza a Mentés lehetőséget
Hagyja ki az egyszeri bejelentkezés tesztelési kérését.
A Felhasználói attribútumok > Jogcímek tulajdonságban figyelje meg a részleteket.
Más jogcímeket is hozzáadhat a BIG-IP által közzétett szolgáltatáshoz. Az alapértelmezett készleten kívül definiált jogcímek akkor lesznek kiállítva, ha a Microsoft Entra-azonosítóban vannak. Definiálja a címtárszerepköröket vagy csoporttagságokat egy felhasználói objektumhoz a Microsoft Entra ID-ban, mielőtt jogcímként kibocsátható lenne.
A Microsoft Entra ID által létrehozott SAML-aláíró tanúsítványok élettartama három év.
Microsoft Entra-engedélyezés
A Microsoft Entra ID alapértelmezés szerint jogkivonatokat ad ki a szolgáltatáshoz hozzáféréssel rendelkező felhasználók számára.
Az alkalmazáskonfigurációs nézetben válassza a Felhasználók és csoportok lehetőséget.
Válassza a + Felhasználó hozzáadása lehetőséget.
A Hozzárendelés hozzáadása menüben válassza a Felhasználók és csoportok lehetőséget.
A Felhasználók és csoportok párbeszédpanelen adja hozzá a VPN-hez való hozzáférésre jogosult felhasználói csoportokat
Válassza a Hozzárendelés kiválasztása lehetőséget>.
Beállíthatja a BIG-IP APM-t az SSL-VPN szolgáltatás közzétételéhez. Konfigurálja a megfelelő tulajdonságokkal az SAML-előhitelesítés megbízhatóságának befejezéséhez.
BIG-IP APM-konfiguráció
SAML-összevonás
A VPN-szolgáltatás Microsoft Entra-azonosítóval való összevonásához hozza létre a BIG-IP SAML-szolgáltatót és a megfelelő SAML IDP-objektumokat.
Nyissa meg az Összevonási>SAML-szolgáltató>helyi SP-szolgáltatásainak elérését.>
Válassza a Létrehozás lehetőséget.
Adjon meg egy nevet és a Microsoft Entra-azonosítóban definiált entitásazonosítót.
Adja meg a gazdagép teljes tartománynevét (FQDN) az alkalmazáshoz való csatlakozáshoz.
Feljegyzés
Ha az entitás azonosítója nem egyezik meg a közzétett URL-cím gazdagépnevével, konfigurálja az SP-név beállításait, vagy hajtsa végre ezt a műveletet, ha nem gazdagépnév URL-formátumban van. Ha az entitás azonosítója,
urn:ssl-vpn:contosoonline
adja meg a közzétett alkalmazás külső sémáját és állomásnevét.Görgessen le az új SAML SP-objektum kiválasztásához.
Válassza a Bind/UnBind IDP Csatlakozás ors lehetőséget.
Válassza az Új identitásszolgáltató létrehozása Csatlakozás or lehetőséget.
A legördülő menüben válassza a Metaadatokból lehetőséget
Keresse meg a letöltött összevonási metaadat-XML-fájlt.
Az APM-objektumhoz adjon meg egy identitásszolgáltatói nevet , amely a külső SAML-azonosítót jelöli.
Az új Microsoft Entra külső idP-összekötő kiválasztásához válassza az Új sor hozzáadása lehetőséget.
Válassza a Frissítés lehetőséget.
Kattintson az OK gombra.
Webtop-konfiguráció
Engedélyezze az SSL-VPN használatát a felhasználóknak a BIG-IP webportálon keresztül.
Nyissa meg az Access>webtoplistákat.>
Válassza a Létrehozás lehetőséget.
Adjon meg egy portálnevet.
Állítsa be a típust Teljes értékre, például
Contoso_webtop
: .Végezze el a fennmaradó beállításokat.
Válassza a Kész elemet.
VPN-konfiguráció
A VPN-elemek az általános szolgáltatás szempontjait vezérli.
Nyissa meg az Access> Csatlakozás ivity/VPN>Network Access (VPN)>IPV4 bérletkészleteket
Válassza a Létrehozás lehetőséget.
Adja meg a VPN-ügyfelek számára lefoglalt IP-címkészlet nevét. Például Contoso_vpn_pool.
Állítsa be a típust IP-címtartományra.
Adjon meg egy kezdő és egy záró IP-címet.
Válassza a Hozzáadás lehetőséget.
Válassza a Kész elemet.
A hálózati hozzáférési lista ip- és DNS-beállításokkal irányítja ki a szolgáltatást a VPN-készletből, a felhasználói útválasztási engedélyeket, és alkalmazásokat indíthat el.
Nyissa meg az Access> Csatlakozás ivity/VPN: Network Access (VPN)>Network Access listáit.
Válassza a Létrehozás lehetőséget.
Adjon nevet a VPN hozzáférési listájának és képaláírás, például a Contoso-VPN-nek.
Válassza a Kész elemet.
A felső menüszalagon válassza a Hálózati Gépház lehetőséget.
Támogatott IP-verzió: IPV4.
IPV4 bérletkészlet esetén válassza ki a létrehozott VPN-készletet, például Contoso_vpn_pool
Feljegyzés
Az Ügyfél Gépház beállításaival korlátozásokat kényszeríthet ki arra vonatkozóan, hogy az ügyfélforgalom hogyan legyen átirányítva egy létrehozott VPN-ben.
Válassza a Kész elemet.
Lépjen a DNS/Gazdagépek lapra.
IPV4 elsődleges névkiszolgáló esetén: A környezet DNS-IP-címe
Alapértelmezett DNS-tartomány utótagja: A VPN-kapcsolat tartomány-utótagja. Például contoso.com
Feljegyzés
Lásd az F5-ös cikket, amely a hálózati hozzáférési erőforrások konfigurálását ismerteti más beállításokhoz.
A VPN-szolgáltatás által támogatott VPN-ügyféltípus-beállítások konfigurálásához BIG-IP kapcsolatprofil szükséges. Például Windows, OSX és Android.
Lépjen az Access> Csatlakozás ivity/VPN> Csatlakozás ivity>Profiles elemre
Válassza a Hozzáadás lehetőséget.
Adjon meg egy profilnevet.
Állítsa a szülőprofilt /Common/connectivity értékre, például Contoso_VPN_Profile.
Hozzáférési profil konfigurációja
A hozzáférési szabályzat lehetővé teszi a szolgáltatást AZ SAML-hitelesítéshez.
Nyissa meg a Hozzáférési>profilok/szabályzatok>hozzáférési profilok (munkamenet-alapú szabályzatok) elemet.
Válassza a Létrehozás lehetőséget.
Adja meg a profil nevét és a profil típusát.
Válassza az Összes lehetőséget, például Contoso_network_access.
Görgessen le, és adjon hozzá legalább egy nyelvet az Elfogadott nyelvek listához
Válassza a Kész elemet.
Az új hozzáférési profil Munkamenet-alapú szabályzat mezőjében válassza a Szerkesztés lehetőséget.
A vizualizációszabályzat-szerkesztő egy új lapon nyílik meg.
Jelölje ki a + jelet.
A menüben válassza a Hitelesítési>SAML-hitelesítés lehetőséget.
Válassza az Elem hozzáadása lehetőséget.
Az SAML hitelesítési SP konfigurációjában válassza ki a létrehozott VPN SAML SP-objektumot
Válassza a Mentés lehetőséget.
Az SAML-hitelesítés sikeres ágához válassza a lehetőséget + .
A Hozzárendelés lapon válassza a Speciális erőforrás-hozzárendelés lehetőséget.
Válassza az Elem hozzáadása lehetőséget.
Az előugró ablakban válassza az Új bejegyzés lehetőséget
Válassza a Hozzáadás/Törlés lehetőséget.
Az ablakban válassza a Hálózati hozzáférés lehetőséget.
Válassza ki a létrehozott Hálózati hozzáférési profilt.
Lépjen a Webtop lapra .
Adja hozzá a létrehozott webtop objektumot.
Válassza a Frissítés lehetőséget.
Válassza aMentés parancsot.
A Sikeres ág módosításához jelölje ki a hivatkozást a Felső Megtagadás mezőben.
Megjelenik az Engedélyezés felirat.
Mentés.
Válassza a Hozzáférési szabályzat alkalmazása lehetőséget
Zárja be a vizualizációszabályzat-szerkesztő lapot.
A VPN-szolgáltatás közzététele
Az APM-hez egy előtérbeli virtuális kiszolgálóra van szükség a VPN-hez csatlakozó ügyfelek figyeléséhez.
Válassza a helyi forgalom virtuális>kiszolgálók>virtuális kiszolgálóinak listáját.
Válassza a Létrehozás lehetőséget.
A VPN virtuális kiszolgálóhoz adjon meg egy nevet, például VPN_Listener.
Válasszon ki egy nem használt IP-célcímet útválasztással az ügyfélforgalom fogadásához.
Állítsa a szolgáltatásportot 443 HTTPS-ra.
Állapot esetén győződjön meg arról, hogy az Engedélyezve lehetőség van kiválasztva.
A HTTP-profil beállítása http-ra.
Adja hozzá az SSL-profilt (ügyfelet) a létrehozott nyilvános SSL-tanúsítványhoz.
A létrehozott VPN-objektumok használatához állítsa be az Access-profilt és a Csatlakozás tivitási profilt az Access-szabályzat alatt.
Válassza a Kész elemet.
Az SSL-VPN szolgáltatás közzé van téve és elérhető az SHA-on keresztül, annak URL-címével vagy a Microsoft alkalmazásportáljaival.
Következő lépések
Nyisson meg egy böngészőt egy távoli Windows-ügyfélen.
Keresse meg a BIG-IP VPN szolgáltatás URL-címét.
Megjelenik a BIG-IP webtop portál és a VPN-indító.
Feljegyzés
Válassza ki a VPN-csempét a BIG-IP Edge-ügyfél telepítéséhez és az SHA-hoz konfigurált VPN-kapcsolat létrehozásához. Az F5 VPN-alkalmazás célerőforrásként látható a Microsoft Entra Feltételes hozzáférésben. A Microsoft Entra-azonosító jelszó nélküli hitelesítésének engedélyezéséhez tekintse meg a feltételes hozzáférési szabályzatokat.
Források
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: